การเข้ารหัสพาร์ติชันสำหรับเริ่มระบบใน Linux (RHEL)

0

ทั้งหมด

เมื่อเร็ว ๆ นี้เราได้ผ่านขั้นตอนการรับรองและพบว่าผู้โจมตีสามารถเข้าถึง / boot พาร์ติชันได้

แนะนำให้เข้ารหัสฮาร์ดไดรฟ์ทั้งหมดรวมถึง / boot partition เพื่อลดขนาดนี้

นี่คือคำถามที่ฉันมี:

  1. รหัสผ่านสำหรับโพรซีเดอร์สำหรับบูตถูกสร้างขึ้นเพื่อถอดรหัสพาร์ติชั่น / boot อย่างไร พวกเราในฐานะนักพัฒนา / ทีม IA สามารถสร้างมันขึ้นมาได้หรือไม่?

เหตุผลสำหรับพวกเขาคือเรามีกระบวนการทำฮาร์ดไดรฟ์ซ้ำหลังจากสร้างรุ่นและวางลงในฮาร์ดไดรฟ์ อาจเป็นไปได้ว่าฮาร์ดไดรฟ์สามารถใส่ลงในเครื่องอื่นได้

สถานการณ์เหล่านั้นจะได้รับการจัดการอย่างไร รหัสผ่านจะต้องถูกสร้างขึ้นหลังจากแต่ละสำเนาของ HD หรือไม่ รหัสผ่านจะถูกคัดลอกในแต่ละรุ่นและเราจะใช้รหัสผ่านเดียวกันสำหรับฮาร์ดไดรฟ์หลายตัวหรือไม่ รหัสผ่านจะขึ้นอยู่กับฮาร์ดแวร์ที่ใช้สร้างหรือจะใช้วิธีอื่น

อะไรคือความผิดอื่นที่เราควรพิจารณาเพื่อดูว่ามันเป็นไปได้หรือไม่สามารถทำได้เพราะเวลา / เงิน / กระบวนการ

ขอบคุณสำหรับคำแนะนำใด ๆ ที่คุณสามารถให้ได้ นี่เป็นครั้งแรกที่เราจะผ่านการค้นพบการทดสอบนี้และครั้งนี้ทำให้เราสะดุด

linux  hard-drive  boot  partitioning  encryption 
อิกอร์
แหล่งที่มา

คำตอบ:

0

ปัญหาไก่และไข่ ... บางสิ่งบางอย่างมีการบูตแรกจากสื่อที่ไม่ได้เข้ารหัสถอดรหัสพาร์ทิชันบูตของคุณ ... นี้เป็นหนึ่งในวัตถุประสงค์ของUEFI โปรแกรมการบู๊ตถูกเซ็นชื่อและเครื่องจะไม่เริ่มการบู๊ตที่ไม่ได้ลงชื่อหรือเสียหาย โซลูชันอื่นคือการบูตจากสื่ออ่านอย่างเดียวเท่านั้น (สมมติว่าคุณสามารถรักษาความปลอดภัยและบังคับใช้)

สิ่งที่ไม่ชัดเจนในคำถามของคุณคือผู้โจมตีสามารถเข้าถึง/bootพาร์ติชันได้อย่างไร หากพวกเขาทำได้โดยการเจาะระบบที่กำลังรันอยู่จะไม่มีการเข้ารหัสใดที่จะช่วยคุณได้ หากพวกเขาทำเพราะพวกเขามีการเข้าถึงระบบจากนั้นพวกเขาก็มีวิธีการโจมตีอื่น ๆมากมาย

สำหรับคำตอบเชิงลึกเพิ่มเติมดูhttps://security.stackexchange.com/

xenoid
แหล่งที่มา
การทดสอบอย่างเป็นทางการได้ดำเนินการโดยการลบฮาร์ดไดรฟ์วางลงในเครื่องอื่นแล้วติดตั้ง / boot พาร์ติชันอ่าน - เขียน จากนั้นผู้ทดสอบทำการถอดสวิทช์ SELinux นำฮาร์ดไดรฟ์กลับมาบูตตามปกติและเข้าถึง "root" ในระบบ "ขั้นตอนการบรรเทาผลกระทบ" ที่ถูกจัดให้กล่าวว่า /boot partition needs to be encrypted to prevent the /boot partition access- เพียงแค่พยายามติดตามสิ่งที่เขียน / พาร์ติชันของเราถูกเข้ารหัส แต่ไม่ใช่ / boot หนึ่ง
อิกอร์
IMHO หากใครบางคนสามารถดึงมันออกมาได้โดยที่ไม่มีใครสังเกตเห็นคุณมีปัญหาร้ายแรงมาก การบรรเทาที่เป็นไปได้ 1) ล็อค / เครื่องอ่านป้าย / ทีม K9 ในห้องเซิร์ฟเวอร์ 2) มองเห็นเซิร์ฟเวอร์และกักกันเซิร์ฟเวอร์ใด ๆ ที่หายไปนานกว่าสองวินาทีหรือดูยุ่งเหยิง
xenoid
เห็นด้วยอย่างสมบูรณ์ can be mitigated by encrypting /boot partitionแต่ที่ได้กระทำในระหว่างการทดสอบและการบรรเทาผลกระทบอย่างเป็นทางการเขียนขึ้นกล่าวว่า ดังนั้นคำถาม นอกจากนี้นี่เป็นหนึ่งในการทดสอบที่ดำเนินการเพื่อให้สามารถเข้าถึงระบบได้เช่นrootกัน ฮาร์ดไดรฟ์ถูกดึงออกนำไปใช้กับเครื่องอื่น / บูตติดตั้งแล้ว SELinux ปิดการทำงานแล้วจึงนำฮาร์ดไดรฟ์กลับมาเปิดใช้งานเพื่อให้สามารถเข้าสู่ระบบในข้อ จำกัด ของ SELinux
อิกอร์
ฉันเข้าใจเพิ่มเติมว่าจะมีความเป็นไปได้ของการโจมตีแฮ็กรหัสผ่านไปยังพาร์ติชัน / เริ่มระบบ แต่อย่างน้อยมันจะผ่านการทดสอบเพิ่มเติม
อิกอร์
ลองคิดดูสิถ้าใครบางคนสามารถเข้าถึงเครื่องและปรับแต่งดิสก์บุคคลนั้นสามารถแทนที่มันด้วยระบบปฏิบัติการที่แตกต่างกันโดยสิ้นเชิง ... (หรือเพิ่มเซิร์ฟเวอร์ขนาดเล็กในห้องเซิร์ฟเวอร์ ... ) การป้องกันการเข้าถึงทางกายภาพเป็นแนวป้องกันแรกของคุณ เดสก์ท็อป / แล็ปท็อปพีซีที่ดีมี swtch เพื่อตรวจจับ (และจดจำใน BIOS) การเปิดกล่องหุ้ม)
xenoid
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.